FYI.

This story is over 5 years old.

Tech

Ransomware – malware die om losgeld vraagt – evolueert te snel om bij te houden

Het is de makers van de CryptXXX-ransomware nu al gelukt om decryptietools te omzeilen.

Beveiligingsonderzoekers vechten hard terug tegen ransomware en hebben meerdere "decryptor tools" gepubliceerd om de bestanden van slachtoffers te ontsleutelen. Vorig jaar werd er al een programma gelanceerd tegen TeslaCrypt; onderzoekers publiceerden ook instructies om van de Jigsaw-ransomware af te komen en onlangs kondigde Kaspersky hun eigen tool aan om van de CryptXXX-ransomware af te komen.

De makers van CryptXXX hebben echter teruggeslagen en een nieuwe versie van hun ransomware uitgebracht die Kaspersky's oplossing omzeilt.

Advertentie

"De nieuwste versie van CryptXXX, die vandaag in het wild verscheen, maakt die tool onbruikbaar. We focussen ons nu weer op CryptXXX detectie en preventie," schreven onderzoekers van cyberbeveiligingsbedrijf Proofpoint eerder deze week in een blog.

CryptXXX werkt vrijwel hetzelfde als andere stukken ransomware. Nadat een potentieel slachtoffer een kwaadaardige website bezoekt, wordt hun browser herleidt naar een exploit kit, zoals Angler. De kit bezorgt vervolgens CryptXXX naar het bedoelde apparaat en vergrendeld persoonlijke documenten en andere opgeslagen bestanden.

"Er zijn twee manieren die je kan kiezen: wachten op een wonder en je prijs zien verdubbelen of NU BITCOIN BEMACHTIGEN!" verschijnt op het apparaat van slachtoffers van CryptXXX, volgens een screenshot gepubliceerd door Proofpoint.

De nieuwste versie van CryptXXX vergrendelt het scherm en maakt de geïnfecteerde computer onbruikbaar. Dit is volgens Proofpoint een "quick and dirty" manier om het gebruikers onmogelijk te maken om de tool van Kaspersky te gebruiken.

Een andere verandering aan CryptXXX is dat de losgeldberichten nu uniek zijn voor elk slachtoffer, gebaseerd op een persoonlijke ID die aangemaakt wordt voor elke besmette machine.

"De bestanden die het slachtoffer waarschuwen dat ze geïnfecteerd zijn waren eerder "de_crypt_readme" met bmp-, txt- en html-extensies. Deze bestanden worden niet meer gebruikt; in plaats daarvan zijn de bestandsnamen een unieke "Personal ID" van de geïnfecteerde machine," vervolgt Proofpoint.

Sommige ransomware-auteurs maaktenamateuristische fouten, waardoor decryptietools gemaakt konden worden. Met CryptXXX krijgen onderzoekers echter echt een kluif om hun tanden in te zetten.